Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Implementación de casos de uso: Remediación automatizada de amenazas de Juniper Connected Security con ForeScout CounterACT y dispositivos de Juniper Networks

Este caso de uso muestra cómo integrar y configurar un dispositivo de seguridad ForeScout CounterACT, un suplicante de Windows 7, un firewall virtual vSRX de Juniper Networks, un conmutador EX4300 de Juniper Networks y un conmutador de la serie QFX de Juniper Networks en Juniper Connected Security.

Para implementar este caso de uso para la reparación de amenazas (bloqueo o cuarentena) de hosts infectados con ForeScout CounterACT, realice el siguiente conjunto necesario de pasos de instalación, configuración y verificación:

Requisitos

Este caso de uso utiliza los siguientes componentes de hardware y software:

  • Firewall virtual vSRX con Junos OS versión 15.1X49-D110.4 o posterior

  • un conmutador de la serie QFX que ejecute Junos OS versión 15.1X53-D60.4 o posterior

  • un conmutador EX4300 que ejecute Junos OS versión 15.1R5.5 o posterior

  • Nube de prevención avanzada de amenazas (ATP Cloud)

  • Plataforma de administración de red de Junos Space, versión 17.2R1 o posterior

  • Junos Space Security Director, versión 17.2R2 o posterior

  • Recopilador de registros, versión 17.2R2 o posterior

  • Agente de cumplimiento de políticas, versión 17.2R2 o posterior

  • ForeScout CounterACT versión 7.0.0-513-2.3.0-1605

  • Una máquina virtual (VM) que ejecuta Windows 7 con 2x hosts NIC duales

Para obtener una lista de los dispositivos compatibles, consulte las Notas de la versión de Policy Enforcer.

Topología de casos de uso

La topología de casos de uso se ilustra en la figura 1.

Figura 1: Remediación automatizada de amenazas de Juniper Connected Security con ForeScout CounterACT y topología de casos de uso de dispositivos de Juniper Networks Juniper Connected Security Automated Threat Remediation with ForeScout CounterACT and Juniper Networks Devices Use Case Topology

El dispositivo de seguridad Forescout CounterACT aplica un enfoque sin agentes a la seguridad de red y se integra con Juniper Connected Security para bloquear o poner en cuarentena hosts infectados en dispositivos de Juniper Networks, conmutadores de terceros y controladores de acceso inalámbrico que admiten y no admiten la integración de protocolos 802.1X.

En este caso de uso, el usuario final infectado se pone en cuarentena en la VLAN VLAN31 de usuario en el conmutador EX4300. El conmutador EX4300 ha habilitado ForeScout CounterACT y tiene habilitada la autenticación 802.1X en ge-0/0/19. El usuario final se autentica en la red mediante 802.1X.

En este caso de uso se producen los sucesos siguientes:

  1. ATP Cloud detecta el punto de conexión infectado.
  2. El Agente de cumplimiento de políticas descarga la fuente de host infectado y, a continuación, aplica la directiva de host infectado a través de CounterACT.
  3. CounterACT consulta al servidor los detalles del punto de conexión para la dirección IP del host infectado.
  4. CounterACT envía un mensaje al conmutador EX4300, indicándole que finalice la sesión bloqueando o poniendo en cuarentena vlan31.
  5. El cumplimiento se produce en el conmutador EX4300 en el que se autentica el punto de conexión.
  6. CounterACT inventaria las aplicaciones, los servicios y los procesos que se ejecutan en el dispositivo, comprueba la versión del sistema operativo y la configuración del Registro, y comprueba la presencia de agentes de seguridad. Como resultado, se obtiene un perfil completo del dispositivo y su estado de seguridad.

Instalar y configurar Junos Space, Security Director y Log Collector

En esta sección se muestra cómo instalar y configurar Junos Space, el Directorio de seguridad y el recopilador de registros para estos casos de uso. Estas aplicaciones se utilizan en este caso de uso para proporcionar la aplicación centralizada de políticas y administración para políticas de seguridad de red coherentes.

Esta sección cubre los siguientes procedimientos:

Instalar Junos Space, Security Director y Log Collector

  1. Descargue la imagen de la plataforma de administración de red de Junos Space de https://www.juniper.net/support/downloads/?p=space#sw.
  2. Instale Junos Space siguiendo las instrucciones https://www.juniper.net/documentation/en_US/junos-space17.2/information-products/pathway-pages/junos-space-virtual-appliance-pwp.html.
  3. Instale Junos Security Director siguiendo las instrucciones que se indican en https://www.juniper.net/documentation/en_US/junos-space17.2/topics/task/multi-task/junos-space-sd-log-collector-installing.html.
  4. Instale Log Collector siguiendo las instrucciones https://www.juniper.net/documentation/en_US/junos-space17.2/topics/task/multi-task/junos-space-sd-log-collector-installing.html.

Configurar redes básicas de Junos Space

Para configurar redes básicas de Junos Space en este caso de uso:

  1. Configure las rutas pertinentes, la máscara de red, la puerta de enlace, el DNS y el NTP para que todos los componentes, excepto Log Collector, puedan conectarse a Internet.
  2. Asegúrese de que todos los componentes estén en la misma zona horaria.
  3. Asegúrese de que SSH esté habilitado.
  4. Asegúrese de que Security Director pueda conectarse al servidor de ATP Cloud, al Policy Enforcer y a todos los dispositivos.

Para obtener más información sobre la configuración de Junos Space, consulte la documentación de la plataforma de administración de red de Junos Space.

Instalar los esquemas DMI necesarios en Security Director

Descargue e instale los esquemas de Junos OS correspondientes correctos para administrar los dispositivos de Juniper Networks:

  1. Agregue los esquemas DMI para los dispositivos de Juniper Networks siguiendo las instrucciones que se indican en https://www.juniper.net/documentation/en_US/junos-space17.2/platform/topics/task/operational/dmi-schemas-adding-updating.html.
  2. Asegúrese de que la versión del software del dispositivo y la versión del esquema coincidan con todos los dispositivos administrados (dispositivos de las series SRX y EX).

Instalar y configurar dispositivos de las series SRX, EX y QFX

Para instalar y configurar firewalls virtuales, conmutadores serie EX y conmutadores serie QFX vSRX para este caso de uso:

  1. Configure el dispositivo vSRX como punto de cumplimiento según sus requisitos. Haga clic en Configuración de CLI para dispositivo serie SRX para revisar el código CLI detallado de Junos OS para este caso de uso.
  2. Configure el conmutador EX4300 según sus necesidades. Haga clic en Configuración de CLI para conmutador EX4300 para revisar el código CLI detallado de Junos OS para este caso de uso. Configure el EX4300 como un autenticador 802.1X y reenvíe las credenciales del suplicante de Windows 7 a ForeScout CounterACT a través del protocolo RADIUS. El conmutador EX4300 también refleja el tráfico que ingresa desde el puerto donde está conectado el suplicante de Windows 7 a un puerto de destino que está conectado a la interfaz "Monitor" del dispositivo virtual ForeScout CounterACT.
    Nota:

    Para obtener instrucciones detalladas sobre cómo implementar el conmutador EX4300 y el conmutador QFX, haga clic en los siguientes vínculos:
  3. Configure el conmutador QFX según sus requisitos. Haga clic en Configuración de CLI para conmutador QFX para revisar el código CLI detallado de Junos OS para este caso de uso. Configure el conmutador QFX como conmutador de acceso estándar. El puerto de enlace ascendente del conmutador QFX en el conmutador EX4300 también refleja el tráfico a un puerto de destino que está conectado a la Monitor interfaz del dispositivo virtual ForeScout CounterACT.
  4. Configure las redes básicas en dispositivos Junos:

    1. En todos los dispositivos Junos, configure las opciones de enrutamiento y DNS necesarias para habilitar el acceso a Internet, así como la conectividad a Junos Space, el Agente de cumplimiento de políticas y el servidor ATP Cloud.

    2. Para el dispositivo SRX, asegúrese de que el acceso a Internet esté habilitado tanto dentro como fuera de banda.

  5. Agregar dispositivos a la plataforma de administración de red de Junos Space:

    1. En Junos Space, detecte e importe el dispositivo SRX en su entorno.

    2. En Security Director, asigne, publique y actualice las directivas de firewall existentes para asegurarse de que Security Director y el dispositivo SRX estén sincronizados.

Instalar y configurar Microsoft Windows Server y Active Directory

Dado que ForeScout CounterACT no tiene una base de datos de usuarios local para usar para la autenticación 802.1X, debe instalar y configurar Windows Server 2008R2 con Active Directory.

  1. Para instalar y configurar Windows Server 2008R2, haga clic en https://docs.microsoft.com/en-us/iis/install/installing-iis-7/install-windows-server-2008-and-windows-server-2008-r2.
  2. Para instalar y configurar Active Directory, haga clic en https://www.petri.com/installing-active-directory-windows-server-2008.
  3. Cree una cuenta de dominio de usuario para usarla más adelante durante la autenticación 802.1X.

Descargar, implementar y configurar la máquina virtual del Agente de cumplimiento de políticas

Para descargar, implementar y configurar la máquina virtual del Agente de cumplimiento de políticas:

  1. Descargue la imagen de la máquina virtual de Policy Enforcer desde http://www.juniper.net/support/downloads/?p=sdpe a la estación de administración donde está instalado el cliente de vSphere.
  2. En vSphere Client, seleccione File > Deploy OVF Template en la barra de menús.
  3. Haga clic Browse para buscar el archivo OVA que descargó.
  4. Haga clic Next y siga las instrucciones del asistente de instalación.
  5. Una vez completada la instalación, inicie sesión en la máquina virtual con root y abc123 como nombre de usuario y contraseña, respectivamente.
  6. Configure las opciones de red, la información NTP y la información del cliente, y complete el asistente.

Para obtener instrucciones más detalladas, consulte https://www.juniper.net/documentation/en_US/release-independent/policy-enforcer/topics/task/installation/policy-enforcer-vm-config.html.

Identificar y conectar el Agente de cumplimiento de políticas con Security Director

Para identificar y conectar el Agente de cumplimiento de políticas con Security Director:

  1. En Security Director, identifique la máquina virtual de Policy Enforcer.
  2. Inicie sesión en Security Director y seleccione Administration > PE Settings.
  3. Escriba la dirección IP de la máquina virtual de Policy Enforcer y la contraseña raíz, y haga clic en OK.
  4. Seleccione Tipo de prevención de amenazas como Sky ATP with PE.
    Nota:

    En este punto, ejecute not el asistente / configuración guiada.

Obtener una licencia de ATP Cloud y crear una cuenta de ATP Cloud Web Portal

Para obtener una licencia de ATP Cloud y crear una cuenta de ATP Cloud Web Portal:

  1. ATP Cloud tiene tres niveles de servicio: gratuito, básico y premium. La licencia gratuita proporciona una funcionalidad limitada y se incluye con el software base. Para obtener e instalar una licencia básica o premium de ATP Cloud, haga clic en Administración de la licencia de Advanced Threat Prevention Cloud.

    Para obtener más información sobre los niveles de servicio y los tipos de licencia de ATP Cloud, haga clic en Tipos de licencia de Advanced Threat Prevention Cloud.

  2. Cree una cuenta del portal web de ATP Cloud haciendo clic en https://sky.junipersecurity.net y rellenando la información necesaria.

Instalar CA raíz en los dispositivos de la serie SRX compatibles con ATP Cloud

Nota:

Esta sección solo es necesaria si habilita la inspección de HTTPS como parte de un perfil de malware o una directiva de prevención de amenazas.

En esta sección se tratan los siguientes temas:

Generar un certificado de CA raíz mediante la CLI u OpenSSL de Junos OS en un dispositivo UNIX

Nota:

Utilice solo una de estas opciones.

Para generar un certificado de CA raíz mediante la CLI de Junos OS en el dispositivo SRX:

  1. Genere una clave pública PKI o un par de claves privadas para un certificado digital local.
  2. Con el par de claves, defina un certificado autofirmado proporcionando FQDN y otros detalles.

O

Para generar un certificado de CA raíz mediante OpenSSL en un dispositivo UNIX:

  1. Genere una clave pública PKI o un par de claves privadas para un certificado digital local.

  2. Copie el par de claves en el dispositivo o dispositivos SRX.

  3. En los dispositivos SRX, importe el par de claves.

  4. Aplique el certificado cargado como root-ca en el perfil de proxy SSL.

Configurar un grupo de perfiles de entidad emisora de certificados

Para configurar un grupo de perfiles de entidad de certificación (CA).

  1. Cree el perfil de CA.
  2. Junos OS proporciona una lista predeterminada de certificados de CA de confianza que puede cargar en el sistema mediante la opción de comando predeterminada.
  3. Compruebe que los ssl-inspect-ca certificados están cargados.

Exportar e importar certificado de CA raíz en un explorador web

Para exportar e importar el certificado de CA raíz en un navegador web:

  1. En el dispositivo SRX, exporte primero el certificado de CA raíz a un archivo .pem.
  2. Transfiera el archivo .pem al cliente de Windows.
    Nota:

    Si está utilizando el dispositivo UNIX con OpenSSL, el certificado ya está en el dispositivo y no es necesario realizar ninguna acción.
  3. Importe el certificado a un explorador.

    Si utiliza un cliente de Windows, indique al explorador que confíe en el certificado raíz de la CA.

    • Internet Explorer (versión 8.0):

      1. En el Tools menú, seleccione Internet Options.

      2. En la ficha Content , haga clic en Certificates.

      3. Seleccione la Trusted Root Certification Authorities ficha y haga clic en Import.

      4. En el Certificate Import Wizard, desplácese hasta el certificado de CA raíz necesario y selecciónelo.

    • Firefox (versión 39.0):

      1. En el Tools menú, seleccione Options.

      2. En el Advanced menú, seleccione la Certificates ficha y haga clic en View Certificate.

      3. En la Certificate Manager ventana, seleccione la Authorities ficha y haga clic en Import.

      4. Desplácese hasta el certificado de CA raíz requerido y selecciónelo.

    • Google Chrome (versión 45.0):

      1. En el Settings menú, seleccione Show Advanced Settings.

      2. En el Advanced menú, seleccione la Certificates ficha y haga clic en View Certificate.

      3. En HTTPS/SSL, haga clic en Manage Certificates.

      4. En la Certificate ventana, seleccione Trusted Root Certification Authorities y haga clic en Import.

      5. En el Certificate Import asistente, navegue hasta el certificado de CA raíz requerido y selecciónelo.

    Para obtener más detalles, haga clic en: https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/ssl-proxy-workflow-configuring.html

O

Si utiliza un dispositivo UNIX, importe el certificado en el explorador:

Descargar, implementar y configurar la máquina virtual ForeScout CounterACT

En esta sección se tratan los siguientes temas:

Tareas de requisitos previos

Antes de comenzar este procedimiento, realice las siguientes tareas:

  1. Obtenga una copia de evaluación de CounterACT (versión: 7.0.0-513-2.3.0-1605) para usarla con Policy Enforcer.
  2. Obtenga una clave de licencia y los siguientes paquetes de complementos del representante de ForeScout:

    • ForeScout-dot1x-4.2.0.1010-42001010.fpi

    • ForeScout-eds-3.2.0-32000032.fpi

    • ForeScout-webapi-1.2.2-12020005.fpi

  3. Descargue e implemente el archivo OVF de CounterACT (CA) o el archivo ISO en un host ESXi.

    • Si descarga e implementa el archivo ISO, entonces:

      1. Cree una nueva máquina virtual (VM) y selecciónela other 2.6.x Linux (32bit) como SO invitado.

      2. Cargue el archivo ISO en Datastore.

      3. Configure la unidad de CD o DVD para que arranque desde Datastore ISO file.

      Nota:

      Antes de encender la máquina virtual, debe habilitar la Connected at power on opción.

    Para conocer los valores de configuración de vSwitch y Network Adaptor en la VM necesarios para las interfaces de administración, supervisión y respuesta, haga clic en:

    Para este caso de uso, se usó el modo de implementación estándar con interfaces , Monitory Response separadasManagement. Para obtener una mayor visibilidad de la red, el conmutador EX4300 se configuró para reflejar el tráfico desde los puertos donde estaban conectados los hosts Windows y Linux a un puerto de destino que estaba conectado a la interfaz Monitor del dispositivo virtual ForeScout CounterACT. Esto también es necesario para el enlace de dirección IP/MAC-ID en implementaciones de conmutadores de acceso que no sean 802.1X cuando no existe una puerta de enlace (conmutador) de capa 3 para recopilar información IP.

    Solo se usa la interfaz de administración para las acciones de corrección automática de amenazas.

  4. Edite la configuración de la máquina virtual en función de sus requisitos de rendimiento.

    Para obtener más información, haga clic en https://www.forescout.com/products/specifications/.

Instalar y configurar el software CounterACT

Para instalar y configurar el software ForeScout CounterACT:

  1. Encienda la máquina virtual y siga las instrucciones en la consola:

    1. Seleccione Install CounterACT esta opción para comenzar la instalación. Una vez completada la instalación, la máquina virtual se reinicia.

    2. En la consola, seleccione Configure CounterACT esta opción para configurar los ajustes de red y del sistema.

    3. Seleccione CounterACT Appliance como tipo de instalación.

  2. Asegúrese de que la interfaz de administración de CounterACT pueda conectarse a Internet para acceder a los conmutadores.
  3. Use un navegador e ingrese https://pact.ly/S1lnt3 para acceder e instalar el software de prueba del producto Juniper CounterACT. Introduzca sus credenciales para confirmar e instalar el software de prueba del producto.
    Figura 2: Página del software de prueba de Juniper CounterACT Juniper CounterACT Trial Software Page

    Descargue e instale Windows o Linux para su sistema operativo.

  4. En el Start menú, seleccione ForeScout CounterACT > CounterACT Console. Aparece la página de inicio de sesión de CounterACT:
    Figura 3: Página CounterACT Login Page de inicio de sesión de CounterACT

    1. En el IP/Name campo, escriba el nombre IP del dispositivo CounterACT.

    2. En la Login Method lista, seleccione esta opción Password para realizar una autenticación de usuario estándar.

    3. En los User Name campos y Password , ingrese su nombre de usuario y contraseña de ForeScout.

    4. Haga clic en Login.

  5. Descargue e instale la actualización acumulativa de CounterACT.
    Figura 4: Actualización CounterACT Cumulative Update acumulativa de CounterACT CounterACT Cumulative Update
  6. Vuelva a iniciar sesión en la consola y siga el asistente de configuración inicial. La Welcome página muestra el componente CounterACT en el que inició sesión e información que definió previamente durante la instalación del centro de datos.
  7. En la License página, haga clic Install License para instalar la licencia del sistema virtual CounterACT.

    Haga clic en Next.

    Figura 5: Página License Installation Page de instalación de licencias
  8. En la Time página, defina la configuración de tiempo del dispositivo.
    Figura 6: Página Time Settings Page de configuración de hora

    Los dispositivos CounterACT requieren conectividad NTP (puerto 123 UDP) a un servidor NTP. Ingrese un servidor NTP para la conexión de su organización o use el servidor NTP predeterminado de ForeScout (ntp.foreScout.net). Haga clic en Prueba para comprobar que el servidor NTP devuelve una conexión correcta.

    Haga clic en Next.

  9. CounterACT genera mensajes de correo electrónico con respecto a alertas de políticas y protección contra amenazas, informes programados, alertas de operaciones críticas del sistema y alertas de licencias desde la Mail página.
    Nota:

    Para este caso de uso, no utilice la opción Notificaciones y alertas por correo electrónico. Sin embargo, no puede omitir este paso y debe introducir una dirección de correo electrónico ficticia. Haga clic en Next.
    Figura 7: Página Mail Settings Page de configuración de correo
  10. Para continuar con el Asistente para la instalación inicial, omita la configuración de los complementos Directorio de usuarios, Dominios y Servidores de autenticación por ahora. Los definirá más adelante en el procedimiento. Haga clic en Skip >> el asistente hasta que aparezca la Internal Network página.
  11. Desde la Internal Network página, agregue el intervalo de direcciones IP (10.10.10.0 a 10.10.30.255) para la red interna que desea que CounterACT administre. Haga clic en Next.
    Figura 8: Configuración Internal Network Settings de red interna
  12. En la Enforcement Mode página, habilite NAT Detection, acepte el resto de la configuración predeterminada del modo de aplicación y haga clic en Next.
    Figura 9: Configuración Enforcement Mode Settings del modo de aplicación
  13. Desde la Channels página:

    1. Defina un nuevo canal seleccionándolo Add en la Channels lista. Este canal se utiliza para hacer coincidir las conexiones de la interfaz del dispositivo que detectan y responden al tráfico en las interfaces de red.

    2. En la Monitor lista, seleccione eth1 como interfaz.

    3. En la Response lista, seleccione eth2 como interfaz.

    4. Asigne ambas interfaces en el centro de datos.

    5. Habilite la All VLANs opción y verifique que la Monitor interfaz reciba el tráfico reflejado del conmutador EX4300 configurado.

    Figura 10: Configuración de Channels Settings canales
  14. Para continuar con el Asistente de configuración inicial, omita la configuración del complemento Switch por ahora. Los definirá más adelante en el procedimiento. Haga clic en Skip >> el asistente hasta que aparezca la Policy página.
  15. En la Policy página, acepte la configuración Classify hosts predeterminada de (habilitada) para Clasificación de activos. Haga clic en Next.
    Figura 11: Configuración de Policy Settings políticas
  16. En la Inventory página, acepte la configuración Enable Inventory Discovery predeterminada de (habilitado). Haga clic en Next.
    Figura 12: Configuración de Inventory Settings inventario
  17. En la Finish página, revise el resumen de configuración del asistente. Haga clic Finish para completar la configuración inicial. Haga clic Save para guardar el archivo de configuración en el archivo externo.
    Figura 13: Finalizar la página Finish Initial Setup Page de configuración inicial
    Nota:

    (Opcional) Para desactivar la funcionalidad de mapa, seleccione Tools > Options > Map.
  18. Para descargar e instalar los paquetes actualizados, haga clic en Check for updates (o seleccione Tools > Check for Updates).
    Figura 14: Pantalla Check for Updates Screen Buscar actualizaciones
  19. Desde la Software Updates página:

    1. Instale el paquete de actualización de infraestructura.

    2. Instale el segundo Service Pack. Una vez completada la instalación del paquete de servicio, CounterACT se reiniciará automáticamente. Haga clic OK para reiniciar la consola.

      Figura 15: Pantalla completa de instalación del paquete de servicio Service Package Installation Complete Screen

    3. Inicie sesión con sus credenciales.

    4. Haga clic ( Check for updates o seleccione Tools > Check for Updates) e instale los demás paquetes de actualización de software restantes.

    Nota:

    Para este caso de uso, anule la selección de los paquetes HPS Inspection Engine y Macintosh/Linux Property Scanner. Estos no son necesarios para este ejemplo de caso de uso.

Instalar y configurar complementos de CounterACT

CounterACT se entrega con varios complementos incluidos:

  • ForeScout-dot1x-4.2.0.1010-42001010.fpi

  • ForeScout-eds-3.2.0-32000032.fpi

  • ForeScout-webapi-1.2.2-12020005.fpi

Estos complementos vinculan CounterACT a la infraestructura de red (conmutadores, servidores de dominio y directorios de usuarios) y proporcionan la funcionalidad principal de detección y administración de puntos finales, que incluye un conjunto completo de propiedades y acciones de host.

  1. Inicie sesión en la consola de CounterACT y seleccione Tools > Options > Plugins instalar los paquetes.
    Figura 16: Pantalla CounterACT Plugins Screen de complementos de CounterACT
  2. Seleccione cada plugin y haga clic en Install. Una vez completada la instalación, haga clic en Close.
  3. Seleccione Tools > Options > Plugins esta opción para comprobar que se están ejecutando los siguientes servicios:

    • Directorio de usuarios

    • Interruptor

    • 802,1X

    • Intercambio de datos (DEX)

    • API web

Configurar el complemento de directorio de usuarios

El complemento de directorio de usuarios resuelve los detalles del usuario del punto de conexión y realiza la autenticación de puntos de conexión a través de servidores de autenticación y directorio.

Para configurar los servidores del directorio de usuarios:

  1. Seleccione Tools > Options > User Directory. En la página Directorio de usuarios, haga clic en Add.
  2. En la Edit Server página, en el panel, defina los parámetros básicos y la General funcionalidad del servidor:

    1. Introduzca el nombre de host del servidor en el Name campo.

    2. En la Type lista, seleccione el tipo de servidor. El tipo de servidor puede ser cualquiera de los siguientes:

      Figura 17: Opciones de tipo de Server Type Options servidor

    3. Habilite estos parámetros de configuración para el servidor: Use as directory, Use for authentication, y Use for Console Login.

    4. Introduzca un comentario sobre la configuración del servidor en el Comment campo.

    5. Haga clic en la Settings pestaña.

  3. En el panel, defina los parámetros del Settings servidor de Microsoft Active Directory:

    1. En la sección Comunicación, ingrese la dirección IP del servidor en el Address campo.

    2. Introduzca el número de puerto en el Port campo.

    3. Habilitar All para el Accessed By campo. Esto garantiza que todos los dispositivos CounterACT puedan comunicarse y tener acceso al servidor configurado.

    4. En la sección Directorio, escriba el nombre de dominio en el Domain campo.

    5. Introduzca las credenciales para autenticar el directorio para consultar otros detalles de usuario en el Administrator campo.

    6. Introduzca y verifique la contraseña del administrador en los Password campos.

    7. Seleccione None para el Additional Domain Aliases campo. Los sistemas buscan un usuario en este directorio sólo si su nombre de dominio coincide con el dominio de directorio configurado.

    8. Haga clic en la Test pestaña.

  4. Desde el Test panel, defina los parámetros para probar la conexión entre el servidor y el complemento del directorio de usuarios.

    1. En la sección Directorio, escriba el nombre de usuario que desea consultar en el User campo.

    2. En la sección Autenticación, ingrese Administrator el User campo e ingrese y verifique la contraseña del administrador en los Password campos.

    3. Haga clic en OKy, a continuación, haga clic Apply para guardar y aplicar los valores de configuración.

      Figura 18: Parámetros User Directory Plugin Parameters del complemento de directorio de usuarios
  5. Haga clic Test para probar su configuración.
    Figura 19: Pantalla Configuration Test Screen de prueba de configuración

Configurar complemento de conmutador

El complemento de conmutador consulta cada conmutador para:

  • Atributos de puerto del conmutador e información sobre los puntos de conexión conectados.

  • Tabla ARP para descubrir nuevos puntos de conexión conectados al conmutador.

La información se puede obtener a través de CLI y/o SNMP.

Para configurar el complemento de conmutador para el conmutador EX4300:

  1. Seleccione Tools > Options > Switch. En la página Conmutador, haga clic en Add.
  2. En la Edit Switch página, en el panel, defina los parámetros básicos y la General funcionalidad del conmutador.

    1. Introduzca la dirección IP o el FQDN del conmutador en el Address campo. La consola utiliza el valor especificado para identificar la entrada del conmutador.

    2. En la Connecting Appliance lista, especifique el dispositivo CounterACT que administrará este conmutador.

    3. En la Vendor lista, especifique el proveedor del dispositivo de red que desea que administre el complemento. Dado que cada CLI y SNMP de proveedor son diferentes, es importante elegir el proveedor adecuado. CounterACT asociará el formato correcto para el conmutador entonces.

    4. Escriba un comentario sobre la configuración del conmutador en el Comment campo.

    5. Haga clic en la CLI pestaña.

  3. Desde el panel, configure el uso de la CLI para la CLI comunicación entre el complemento del conmutador y el conmutador.

    1. Habilite la opción para activar el acceso a la Use CLI CLI.

      Nota:

      SSH es el tipo de conexión seleccionado permanentemente para los conmutadores de Juniper Networks.

    2. Introduzca un nombre de usuario y una contraseña en los User campos y Password . El complemento del conmutador utiliza estas credenciales para iniciar sesión en el conmutador.

      Nota:

      Para la administración de complementos de los conmutadores de Juniper, el usuario que configure debe tener permiso de superusuario en los conmutadores de Juniper.

      No utilice el inicio de sesión raíz para acceder a la CLI a los conmutadores de la serie EX.

    3. En la sección Parámetros de acceso privilegiado, habilite la Enable privileged access opción para proporcionar privilegios de escritura del complemento en el conmutador.

    4. Seleccione la No password opción para indicar que la configuración del conmutador no requiere contraseña.

    5. Haga clic en la Permissions pestaña.

  4. En el panel, defina la Permissions configuración de permisos de lectura, escritura y avanzada para el conmutador.

    1. En la sección Permisos MAC, habilite la Read: MACs connected to switch port and port properties (MAC address table) opción. Habilitar el permiso de lectura MAC permite a CounterACT leer la tabla de direcciones MAC de un conmutador y descubrir los puntos finales conectados y su interfaz de red.

    2. Habilite la Write: Enable Actions (Switch block, Assign to VLAN, ACL) opción para habilitar el permiso Complemento de conmutador para aplicar la acción Asignar a VLAN, la acción Bloquear conmutador y las acciones ACL en los puntos de conexión detectados en el conmutador administrado.

      Nota:

      La configuración de ACL no es necesaria para esta configuración de caso de uso.

    3. Haga clic en la 802.1X pestaña. (Este panel solo aparece si el complemento 802.1X está instalado)

  5. Desde el panel, configure la autenticación y autorización basadas en RADIUS para los puntos de conexión detectados al intentar conectarse a una red de Juniper Networks a través de un conmutador de la 802.1X serie EX4300.

    1. En los RADIUS Secret as configured in switches campos, escriba el secreto RADIUS necesario para permitir la comunicación entre el servidor CounterACT RADIUS y el conmutador administrado.

    2. Haga clic en OKy, a continuación, haga clic Apply para guardar y aplicar los valores de configuración.

      Figura 20: Confirmación secreta de autenticación basada en RADIUS 802.1X 802.1X RADIUS-based Authentication Secret Confirmation
  6. Haga clic Test para probar su configuración.
    Figura 21: Pantalla de prueba de configuración del conmutador Switch Configuration Test Screen
    Nota:

    Para configurar el conmutador QFX, repita los mismos pasos de configuración que para el conmutador EX4300. Sin embargo, debe configurar la funcionalidad de ACL para el conmutador QFX porque QFX se implementa como un conmutador de acceso estándar (sin 802.1X) y la solución automática de amenazas se realiza mediante la aplicación de ACL.

    En la página Directorio de usuarios, habilite o seleccione los siguientes campos en el panel ACL:

    • Habilitar ACL

    • Agregar filtro de firewall ACL a puertos físicos

    • Agregar reglas de permisos de servidores de autenticación CounterACT

    • Usar nombre definido por el sistema (forescout_acl)

Configurar el complemento 802.1X

El complemento 802.1X permite a CounterACT autenticar el conmutador 802.1X o las conexiones inalámbricas a la red. El plugin es compatible con la especificación IEEE 802.1X y el protocolo de autenticación RADIUS.

Para configurar el complemento 802.1X:

  1. Seleccione Tools > Options > 802.1x.
    Figura 22: Opciones 802.1X Options de 802.1X
  2. En la 802.1X página, en el Authentication Sources panel, seleccione el directorio de usuarios que valida las credenciales proporcionadas durante la autenticación del extremo. Puede configurar todos los orígenes de autenticación en el complemento del directorio de usuarios.
  3. Haga clic en la Pre-Admission Authorization pestaña y defina un conjunto de reglas priorizadas. El servidor RADIUS de CounterACT utiliza estas reglas para evaluar los extremos para la autorización después de que hayan sido autenticados por el servidor RADIUS correspondiente (una selección de origen de autenticación).
    Figura 23: Pestaña Pre-Admission Authorization Tab Autorización previa a la admisión
  4. Haga clic Add para agregar varias condiciones a la regla.
    Figura 24: Condiciones Pre-Admission Authorization Conditions de autorización previa a la admisión
  5. Agregue sus atributos de autorización. Ingrese VLAN como tipo de túnel y 31 como grupo privado de túnel. Haga clic en OK.
    Figura 25: Agregar atributos Adding Authorization Attributes de autorización
  6. Haga clic en la Server Certificate pestaña. Habilite la Use self-signed certificate opción.
    Figura 26: Opciones de certificados de Server Certificate Options servidor
  7. Haga clic en la RADIUS Settings pestaña. Habilite la CounterACT RADIUS Logging opción y acepte todas las demás configuraciones predeterminadas.
    Figura 27: Configuración de RADIUS Settings RADIUS
  8. Haga clic Apply para guardar y aplicar los valores de configuración.
    Figura 28: Aplicación de opciones de configuración de 802.1X Applying 802.1X Configuration Settings

Configurar Windows 7 Suplicante

Ya debería haber instalado Microsoft Windows Server y Active Directory. Haga clic en Instalar y configurar Microsoft Windows Server y Active Directory para revisar las instrucciones.

Para configurar el suplicante de Windows 7:

  1. Asegúrese de que el suplicante de Windows 7 está configurado con el dominio de Active Directory que creó anteriormente.
    Figura 29: Comprobación de la configuración del suplicante de Windows Windows Supplicant Configuration Verification
  2. Asegúrese de que el servicio de configuración automática por cable se esté ejecutando.
    Figura 30: Confirmación de la configuración del servicio AutoConfig por cable Wired AutoConfig Service Configuration Confirmation
  3. Habilite la autenticación PEAP 802.1X para la conexión de área local.
    Figura 31: Confirmación de 802.1X PEAP Authentication Confirmation autenticación PEAP 802.1X
  4. Haga clic Settings y asegúrese de que la Validate server certificate opción no esté seleccionada.
    Figura 32: Propiedades Protected EAP Properties del EAP protegido
  5. Configure las opciones de credenciales de usuario. Seleccione la Automatically use my Windows login name and password opción para usar las credenciales de usuario que configuró previamente en Active Directory.
    Figura 33: Confirmación de Windows Login and Password Confirmation inicio de sesión y contraseña de Windows
  6. Haga clic Authentication > Additional Settings > Replace credentials e introduzca las credenciales del usuario que creó en Active Directory.
    Figura 34: Reemplazo de credenciales Replacing Credentials
  7. Para confirmar que la autenticación 802.1X funciona en Windows 7 Suplicante y comprobar que el usuario está colocado correctamente en la VLAN de usuario (vlan31), escriba los show dot1x interface comandos y show vlans vlan31 .
    Figura 35: mostrar interfaz dot1X y mostrar salida show dot1X interface and show vlans Output vlans
  8. Para revisar la información de la sesión (nombre de usuario, dirección IP e ID MAC) en la consola de CounterACT, haga clic con el botón derecho en el host y seleccione Information > Details.
    Figura 36: Verificación de la información de la Session Information Verification sesión

Probar y solucionar problemas de autenticación 802.1X

Para probar la autenticación 802.1X contra ForeScout CounterACT:

  1. Inicie sesión con las credenciales de la cuenta de dominio (usuario) que creó en el Directorio de usuarios.
    Figura 37: Solución de problemas de autenticaciones rechazadas Troubleshoot Rejected Authentications
  2. Asegúrese de que el conmutador EX4300 esté configurado correctamente para la autenticación 802.1X. Haga clic en Configuración de CLI para conmutador EX4300 para revisar el archivo de configuración.

Para solucionar problemas de autenticación 802.1X:

  1. En la consola de ForeScout CounterACT, haga clic en la ficha Directiva y cree una directiva utilizando la Troubleshoot Rejected Authentications plantilla (enumerada en 802.1X Enforcement).

  2. Inicie su política para solucionar el problema.

Para ver los registros desde la consola de ForeScout CounterACT:

  1. Seleccione Log > Policy Log. En la página Registro de directivas, escriba la dirección MAC o IP del suplicante de Windows 7.

    Figura 38: Configuración del Policy Log Settings registro de directivas

  2. Haga clic en OK. Aparecerán los archivos de registro de directivas.

    Figura 39: Archivos Policy Log Files de registro de directivas

  3. Si la autenticación 802.1X funciona y su suplicante de Windows 7 obtiene una dirección IP del servidor DHCP que se ejecuta en SRX, puede generar algo de tráfico para comprobar que su suplicante de Windows 7 (por ejemplo, 10.10.30.69) aparece en la lista Host en la pestaña Inicio.

    Figura 40: Confirmación de autenticación 802.1X del registro de políticas Policy Log 802.1X Authentication Confirmation
    Nota:

    Además, si ya configuró el otro host (sistema Windows o Linux) que está conectado al conmutador QFX y obtuvo una dirección IP del servidor DHCP que se ejecuta en SRX, puede generar algo de tráfico para él y la dirección de host (por ejemplo, 10.10.30.99) también aparecerá en la lista de hosts.

Configurar el complemento de intercambio de datos

El complemento de intercambio de datos (DEX) permite a CounterACT utilizar servicios web para comunicarse con entidades externas. CounterACT consulta servicios externos y recibe actualizaciones a través del servicio web CounterACT alojado por el complemento. En este caso, DEX junto con el conector ForeScout monitoreará PE para cualquier comunicación.

Para configurar el complemento de intercambio de datos (DEX):

  1. Seleccione Tools > Options > Data Exchange (DEX).
  2. En la página Intercambio de datos (DEX), seleccione CounterACT Web Service > Accounts la pestaña.
    Figura 41: Cuentas Data Exchange Accounts de intercambio de datos
  3. Haga clic Add e introduzca la siguiente información:

    1. En el Name campo, escriba el nombre de la cuenta de servicio web de CounterACT.

    2. En el Description campo, escriba una breve descripción del propósito de la cuenta de servicio web.

    3. En el Username campo, escriba el nombre de usuario utilizado para autorizar a CounterACT a acceder a la cuenta de servicio web.

    4. En el Password campo, escriba la contraseña utilizada para autorizar a CounterACT a acceder a la cuenta de servicio web.

    5. Haga clic OK y la cuenta aparecerá en la pestaña Cuenta.

  4. Haga clic en la Properties pestaña. En la página Propiedades, haga clic Add para agregar las propiedades siguientes:

    • Bloquear

    • Cuarentena

    • Prueba

    Nota:

    Debe incluir la propiedad Test; de lo contrario, no podrá agregar CounterACT como conector de terceros al Agente de cumplimiento de directivas correctamente.

    Figura 42: Propiedades Data Exchange Properties de intercambio de datos
  5. Haga clic en la Security Settings pestaña. Se utiliza una lista blanca de direcciones IP para permitir el acceso al servicio web CounterACT. En la página Configuración de seguridad, haga clic y Add agregue el intervalo de direcciones IP para el Agente de cumplimiento de directivas. Haga clic en OK. La dirección IP aparece en la lista Intervalo de direcciones IP.
    Figura 43: Configuración Data Exchange Security Settings de seguridad de intercambio de datos
  6. En la página Intercambio de datos (DEX), haga clic Apply para guardar y aplicar las opciones de configuración.
    Figura 44: Intercambio de datos aplicando opciones Data Exchange Applying Configuration Settings de configuración

Configurar el complemento de API web

El complemento de API web permite que entidades externas se comuniquen con CounterACT mediante solicitudes de servicio web simples pero potentes basadas en la interacción HTTP. Configure el complemento de API web para crear una cuenta para la integración de Policy Enforcer.

Para configurar el complemento de API web:

  1. Seleccione Tools > Options > Web API.
  2. En la página API web, en la sección Credenciales de usuario, haga clic en Add.
    Figura 45: Credenciales Web API User Credentials de usuario de API web
  3. Introduzca el mismo nombre de usuario y contraseña que creó anteriormente para la configuración de Intercambio de datos (DEX) y haga clic en OK.
  4. Haga clic en la Client IPs ficha y haga clic en Add. Agregue la dirección IP del Agente de cumplimiento de directivas a la lista de acceso.

    Haga clic en OK.

    Figura 46: Pestaña Web API Client IP Tab IP del cliente de API web
  5. En la página API web, haga clic Apply para guardar y aplicar las opciones de configuración.
    Figura 47: API web aplicando opciones Web API Applying Configuration Settings de configuración

Verificar plugins

Para comprobar que todos los plugins necesarios se están ejecutando, seleccione Tools > Options > Plugins. Aparece la página Plugins que muestra el estado de cada plugin.

Figura 48: Verificación de plugins Verifying Plugins

Configurar políticas automatizadas de corrección de amenazas

Con Policy Manager, cree estas políticas automatizadas de corrección de amenazas:

  • Políticas de NETCONF: se utilizan para conectar hosts al conmutador QFX.

  • Políticas 802.1X: se usan para conectar hosts al conmutador EX4300 y se usan para la autenticación 802.1X.

Para crear una política NETCONF o una política 802.1X de solución automatizada de amenazas:

  1. Seleccione Policy > Policy Manager.
  2. En la página Administrador de políticas, haga clic en Add.
    Figura 49: Página Policy Manager Page del Administrador de políticas
  3. Haga clic y haga clic Custom en Next.

    1. Un. En función de sus requisitos, cree los siguientes conjuntos de políticas de bloqueo y cuarentena de SDSN para proteger el tráfico de servidor de host a conmutador y de conmutación a 802.1X. En el campo, escriba estos nombres de Name directiva:

      • BLOQUE SDSN—dot1x

      • CUARENTENA DE SSN: DOT1X

      • BLOQUE SDSN: NETCONF

      • CUARENTENA DE SDSN—NETCONF

      Figura 50: Políticas de bloqueo y cuarentena Block and Quarantine Policies

    2. En el Description campo, escriba una descripción para cada directiva. Haga clic en Next.

  4. En la Scope página, seleccione la IP Range opción. Introduzca el intervalo de direcciones IP del segmento LAN como puntos de conexión que se van a inspeccionar para esta directiva. Haga clic en OK.
    Figura 51: Intervalo de direcciones IP en directivas IP Address Range in Block and Quarantine Policies de bloqueo y cuarentena
  5. Haga clic Next para omitir la sección Avanzado y abrir la Main Rule página. Una regla contiene un conjunto de condiciones y acciones:

    • Una condición es un conjunto de propiedades que se consulta al evaluar extremos.

    • Una acción es la medida que CounterACT toma en los puntos de conexión.

  6. En la Main Rule página, haga clic en Add la sección Condición de la página para agregar una condición.
    Figura 52: Agregar condiciones a las políticas Adding Conditions to Block and Quarantine Policies de bloqueo y cuarentena
  7. Defina la condición para bloqueo o cuarentena.
    Figura 53: Definición de condiciones para las políticas Defining Conditions for Block and Quarantine Policies de bloqueo y cuarentena
  8. En la Main Rule página, haga clic en Add la sección Acciones de la página. Desde la Action página, defina estas acciones:

    1. SDSN BLOCK - dot1x─Seleccione 802.1x Authorize en el panel izquierdo y habilite la Deny Access opción como una acción.

      Figura 54: 802.1X bloqueando el acceso 802.1X Blocking Access

    2. SDSN QUARANTINE - dot1x─Seleccione 802.1x Authorize en el panel izquierdo e ingrese VLAN32 en el VLAN campo como una acción.

      Figura 55: Tráfico de cuarentena 802.1X a una VLAN 802.1X Quarantine Traffic to a VLAN

    3. SDSN BLOCK - NETCONF─seleccione Endpoint Address ACL en el panel izquierdo e introduzca una ACL como una acción en la Parameters pestaña.

      Figura 56: ACL Endpoint Access ACL de Endpoint Access

    4. SDSN QUARANTINE - NETCONF─Seleccione Assign to VLAN en el panel izquierdo e ingrese VLAN32 en el campo debajo de VLAN name la Parameters pestaña para agregar como una acción.

      Figura 57: Asignación de cuarentena de SDSN a VLAN SDSN Quarantine Assign to VLAN
  9. Haga clic y OK , a continuación, haga clic en Next. Omita la configuración de subreglas en la Sub-Rules página.
  10. En la página Administrador de políticas, haga clic Apply para guardar y aplicar los valores de configuración. Revise el Status de su póliza y verifique que esté activa indicada con una flecha y un cuadro verde:

Configurar el conector del Agente de cumplimiento de políticas para conmutadores de terceros

  1. Inicie sesión en Security Director, desplácese hasta Administration > Policy Enforcer > Connectors y cree un nuevo conector. Un círculo azul de carga/espera indica que la creación del conector está en curso.
    Figura 58: Conectores Connectors
  2. Introduzca los siguientes detalles de la página General:

    • Name─Introduzca una cadena única.

    • Description─Introduzca una descripción.

    • ConnectorType─Seleccione la red de dispositivos de terceros necesaria para conectarse a su estructura segura y cree políticas para esta red. Seleccione ForeScout CounterACT. Haga clic en Next.

  3. Introduzca los siguientes detalles de la página General:

    • IP Address─Introduzca la dirección IP (IPv4 o IPv6) del servidor de gestión de productos.

    • Port─Seleccione el puerto que desea utilizar en la lista. Si lo deja en blanco, el puerto 443 es el predeterminado.

    • Username─Introduzca el nombre de usuario del servidor para el tipo de conector ForeScout CounterACT seleccionado. Por ejemplo, Admin.

    • Password─Introduzca la contraseña del servidor para el tipo de conector ForeScout CounterACT seleccionado.

    • DEX User Role─Introduzca la contraseña del servidor para el tipo de conector ForeScout CounterACT seleccionado. Por ejemplo, Administrador. Esto tiene que coincidir con el campo Nombre configurado en la página 58 bajo el complemento DEX. Haga clic en Next.

  4. En la página Detalles de la red, agregue información de subred a la configuración del conector para poder incluirlas en grupos y, a continuación, aplicar directivas a esos grupos. Haga clic en Next.
  5. En la página Configuración, escriba los valores para el nombre de usuario y la contraseña de la API web. Haga clic en Finish.

Configurar ATP Cloud con políticas de prevención de amenazas

Para configurar ATP Cloud y configurar políticas de prevención de amenazas:

  • Configure una estructura segura. Una estructura segura es una colección de sitios que contienen dispositivos de red (conmutadores, enrutadores, firewalls y otros dispositivos de seguridad) utilizados en grupos de aplicación de directivas.

  • Defina un sitio y agréguele puntos de conexión (conmutadores y firewalls).

  • Configurar grupos de cumplimiento de directivas. Un grupo de cumplimiento de directivas es una agrupación de extremos a los que se aplican directivas de prevención de amenazas.

  • Crear una política de prevención de amenazas.

  • Aplicar políticas de prevención de amenazas a grupos de aplicación de políticas

Nota:

Si usa el Agente de cumplimiento de políticas para la prevención de amenazas con ATP Cloud, la configuración guiada es la forma más eficaz de completar la configuración inicial.

Para llevar a cabo la configuración mediante la instalación guiada:

  1. En Security Director, desplácese hasta Configure > Guided Setup > Threat Prevention.
    Figura 59: Configuración de la directiva de prevención de Threat Prevention Policy Setup amenazas
  2. Haga clic Start Setup y siga el asistente.
    Figura 60: Sky ATP con configuración de Sky ATP with SDSN Setup SDSN
  3. Cree un sitio de estructura seguro que incluya puntos de aplicación solo para el dispositivo de la serie SRX y el conector ForeScout CounterACT. Haga clic en Next.
    Figura 61: Configuración de la política de prevención de amenazas de Secure Fabric Secure Fabric Threat Prevention Policy Setup
  4. Cree un grupo de cumplimiento de directivas y seleccione el sitio. Según sus requisitos, determine el tipo de puntos de conexión que va a incluir en su grupo de cumplimiento de directivas: dirección IP, subred o ubicación. Los puntos de conexión no pueden pertenecer a varios grupos de aplicación de directivas. Haga clic en Next.
    Figura 62: Grupos Policy Enforcement Groups de aplicación de políticas
  5. Agregue el dominio de ATP Cloud proporcionando los detalles relevantes de su cuenta de ATP Cloud.

    Antes de configurar el dominio de ATP Cloud, asegúrese de:

    • Tener una cuenta de ATP Cloud con una licencia asociada.

    • Comprenda qué tipo de licencia de ATP Cloud tiene: gratuita, básica o premium. La licencia controla qué características de ATP Cloud están disponibles. Haga clic en Obtener una licencia de ATP Cloud y Crear una cuenta de portal web de ATP Cloud para obtener más información.

    • Sepa qué región está cubierta por el reino que está creando. Debe seleccionar una región al configurar un dominio.

      Figura 63: Reino ATP del Sky ATP Realm cielo

    Escriba Location, Username (su nombre de usuario para ATP Cloud es su dirección de correo electrónico) Passwordy un nombre para . Realm Haga clic en OK.

  6. Compruebe que se ha agregado el dominio ATP Cloud.
    Figura 64: Verificación de creación de ATP Cloud Realm ATP Cloud Realm Creation Verification

    El valor 1 debe aparecer en la Perimeter Firewall in Sites columna, lo que indica que ATP Cloud ha detectado el dispositivo de la serie SRX.

    Nota:

    Si la adición de dominio no se realiza correctamente, indica que hay un problema de red y Security Director o Policy Enforcer no pueden conectarse a Internet. Asegúrese de que todos los dispositivos o componentes puedan conectarse a Internet y entre sí.
  7. Cree una política de prevención de amenazas, según sus requisitos. Las políticas de prevención de amenazas proporcionan protección y monitoreo para perfiles de amenazas seleccionados, incluidos servidores de comando y control (C&C), hosts infectados y malware.

    • Determine el tipo de perfil que se utilizará para esta política: servidor C&C, hosts infectados o malware. Puede seleccionar uno o varios perfiles de amenaza en una política.

    • Determine qué acción tomar si se encuentra una amenaza.

    • Sepa qué grupo de cumplimiento de directivas agregar a esta directiva.

    Figura 65: Crear una política de prevención de Create Threat Prevention Policy amenazas

    Haga clic en OK.

  8. La directiva de prevención de amenazas necesita un perfil para las descargas HTTP; este perfil indica qué tipo de archivos deben analizarse en busca de amenazas. Para agregar un perfil para descargas de archivos HTTP, en el Device Profile área, expanda el Realm y seleccione el perfil requerido. Haga clic en OK.
    Figura 66: Perfil Threat Prevention Device Profile del dispositivo de prevención de amenazas
  9. Asigne la directiva de prevención de amenazas al grupo de cumplimiento de políticas deseado haciendo clic en Assign to Groups.
    Figura 67: Asignación de una directiva de prevención de amenazas a un grupo Assigning a Threat Prevention Policy to a Policy Enforcement Group de cumplimiento de políticas
  10. Seleccione el grupo de cumplimiento de directivas y haga clic en OK.
    Figura 68: Selección Policy Enforcement Group Selection del grupo de aplicación de políticas
  11. El sistema realiza un análisis de reglas y prepara configuraciones de dispositivos que incluyen las políticas de prevención de amenazas.
    Figura 69: Análisis de Rule Analysis reglas
  12. Una vez finalizado el análisis, haga clic en Update.
    Figura 70: Actualización de cambios Updating Policy and Configuration Changes en la política y la configuración
  13. Cuando se completa la inserción, el sistema vuelve a la Policies página. Haga clic en OK.
    Figura 71: Confirmación de actualización de políticas Policy Update Confirmation
    Nota:

    Si se produce un error en la actualización, complete la configuración guiada de la directiva de prevención de amenazas. Desplácese hasta Devices > Security Devices la red y vuelva a sincronizarla con ella. A continuación, vaya a Configure > Threat Prevention -> Policies, haga clic y Update Required presione la actualización una vez más Si se requiere solución de problemas adicional, puede ver los cambios de configuración insertados en un dispositivo de la serie SRX seleccionando Monitor > Job Management.

    Cambios de configuración enviados al dispositivo SRX:

    Figura 72: Configuración de SRX SRX Configuration
  14. Haga clic Finish para finalizar la configuración guiada de la directiva de prevención de amenazas.
    Figura 73: Configuración de Threat Prevent Policy Setup políticas de prevención de amenazas

    El sistema muestra el resumen de la configuración. Haga clic en OK.

    Figura 74: Resumen de configuración de directivas de prevención de Threat Prevention Policy Configuration Summary amenazas

Verificación de casos de uso

Para comprobar la configuración del caso de uso, realice las siguientes acciones:

Verificar la inscripción de dispositivos en ATP Cloud en un dispositivo de la serie SRX

Propósito

Verifique que el dispositivo de la serie SRX esté conectado al servidor ATP Cloud.

Acción

En el dispositivo SRX, use el comando de la show services advanced-anti-malware status CLI.

Significado

La salida de la CLI muestra el valor . Connection status Connected El Server hostname campo muestra el nombre de host del servidor de ATP Cloud.

Comprobar la inscripción de dispositivos del Agente de cumplimiento de políticas y de la serie SRX en ATP Cloud

Propósito

Compruebe que el Agente de cumplimiento de políticas y el dispositivo de la serie SRX estén inscritos en ATP Cloud.

Acción

En ATP Cloud, vaya a la página y revise la información de conexión de los dispositivos inscritos, incluido el número de serie, el número de Enrolled Devices modelo, el estado de inscripción de nivel (gratuito, básico, premium) en ATP Cloud, la última actividad de telemetría y la última actividad vista.

Figura 75: Verificación de dispositivos inscritos en ATP Cloud Verifying Enrolled Devices in ATP Cloud

Significado

El Host campo muestra detalles del firewall inscrito (vSRX_L3_QFX) y del dispositivo del Agente de cumplimiento de políticas. Puede hacer clic en los números de serie para obtener más detalles.

Verificar la inscripción de dispositivos con ATP Cloud en Security Director

Propósito

Compruebe que el dispositivo de la serie SRX está inscrito en ATP Cloud en Security Director.

Acción

En Directorio de seguridad, desplácese hasta Devices > Secure Fabric.

Figura 76: Verificación de la inscripción de dispositivos en Security Director Verifying Device Enrollment in Security Director

Significado

Aparece un punto verde con una marca de verificación en el SkyATP Enroll Status campo que confirma la inscripción del dispositivo de la serie SRX en el dominio ATP Cloud.

Verificar la funcionalidad de ForeScout CounterACT para bloquear el punto final infectado (con autenticación 802.1X)

Propósito

Pruebe la integración y funcionalidad de ForeScout CounterACT cuando un punto de conexión esté infectado. En este ejemplo, se comprueba cuándo está configurada la directiva de cumplimiento para bloquear el host infectado con autenticación 802.1X.

Acción

Nota:

Se requiere una máquina virtual cliente o un equipo físico para desencadenar un ataque.

Antes del ataque, confirme lo siguiente:

  • Confirme que Windows Suplicante está autenticado y en VLAN de usuario (vlan31).

  • Confirme que el punto de conexión 10.10.30.69 puede hacer ping a Internet (dirección IP 8.8.8.8) y a la puerta de enlace predeterminada conectada de capa 2 (10.10.30.254). Antes del ataque, el punto de conexión inicia pings continuos a otros puntos finales en la LAN e Internet.

    El punto de conexión hace ping al servidor C&C en Internet desde Windows Suplicante (en este ejemplo desde la dirección IP 184.75.221.43).

    Figura 77: Confirmación de ping desde Windows Suplicante Confirming Ping from Windows Supplicant

Después del ataque, la sesión 802.1X finaliza con RADIUS CoA en el conmutador EX4300 iniciado por ForeScout CounterACT.

Confirme lo siguiente:

  • Confirme que Windows Suplicante ya no puede conectarse a Internet o a la LAN.

    Figura 78: Confirmar que el suplicante de Windows está bloqueado después del ataque Confirming Ping from Windows Supplicant is Blocked After the Attack

  • Después del mensaje de desconexión de RADIUS CoA, confirme que el suplicante de Windows ya no está en VLAN de usuario (vlan31), sino en la VLAN predeterminada.

  • Confirme que ForeScout CounterACT rechaza otras solicitudes de autenticación.

  • Confirme la coincidencia de la directiva BLOQUE SDSN (dot1x) y los detalles de la acción de solución automatizada de amenazas navegando a ForeScout CounterACT > Home.

    Figura 79: Verificación de coincidencias de políticas de bloqueo de SDSN 802.1X 802.1X SDSN Block Policy Match Verification

  • Desplácese hasta Log > Host Log. Revise los detalles de la directiva SDSN BLOCK (dot1x).

    Figura 80: Registro de 802.1X Host Log host 802.1X

  • Confirme que la dirección IP del suplicante de Windows también se agregó a la fuente de hosts infectados en el dispositivo serie SRX para bloquear el acceso a Internet.

  • En el portal de ATP Cloud, vaya a Monitor > Hosts. Confirme la dirección IP del host (10.10.30.69), MAC-ID y el puerto del conmutador del suplicante de Windows.

    Figura 81: Monitoreo de ATP Cloud Host Monitoring host de ATP Cloud

Significado

Todas las sesiones de ping muestran que el tráfico se bloquea después de que se detectó la amenaza, lo que confirma que el caso de uso de reparación automatizada de amenazas funciona correctamente.

La Hosts página enumera los hosts comprometidos y sus niveles de amenaza asociados. El resultado confirma que ATP Cloud y Security Director han detectado el host infectado. Puede supervisar y mitigar las detecciones de malware por host.

Verificar la funcionalidad de ForeScout CounterACT para poner en cuarentena el punto de conexión infectado (con autenticación 802.1X)

Propósito

Pruebe la integración y funcionalidad de ForeScout CounterACT cuando un punto de conexión esté infectado. En este ejemplo, se comprueba cuándo está configurada la directiva de cumplimiento para poner en cuarentena el host infectado con autenticación 802.1X.

Acción

Nota:

Se requiere una máquina virtual cliente o un equipo físico para desencadenar un ataque.

Antes del ataque, confirme lo siguiente:

  • Suelte el host infectado en el portal de ATP Cloud o en Security Director (Monitor > Threat Prevention > Hosts).

  • Asegúrese de que el acceso a Internet o LAN está restaurado para el suplicante de Windows.

  • En la página, cambie las Policy Enforcer > Threat Prevention Policy acciones del perfil de host infectado a Quarantine y agregue el ID de VLAN como vlan32. Haga clic en OK.

    Figura 82: Configuración previa al ataque de la política de prevención de amenazas Threat Prevention Policy Pre-Attack Configuration

  • Confirme que Windows Suplicante está autenticado y en VLAN de usuario (vlan31).

  • Confirme que el punto de conexión 10.10.30.69 puede hacer ping a Internet (dirección IP 8.8.8.8) y a la puerta de enlace predeterminada conectada de capa 2 (10.10.30.254). Antes del ataque, el punto de conexión inicia pings continuos a otros puntos finales en la LAN e Internet.

    Figura 83: Confirmación del ping desde la súplica de Windows antes del ataque Confirming Ping from Windows Supplication Before the Attack

    El punto de conexión hace ping al servidor C&C en Internet desde Windows Suplicante (en este ejemplo desde la dirección IP 184.75.221.43).

Después del ataque, la sesión 802.1X finaliza con RADIUS CoA en el conmutador EX4300 iniciado por ForeScout CounterACT.

Confirme lo siguiente:

  • Confirme que Windows Suplicante se vuelve a autenticar y se mueve automáticamente a VLAN de cuarentena (vlan32). Como resultado, el suplicante de Windows ya no puede conectarse a Internet o a la LAN.

    Figura 84: Confirmar que el tráfico se mueve a VLAN en cuarentena después del ataque Confirm Traffic is Moved to Quarantine VLAN After Attack

  • Después del mensaje de desconexión y reautenticación del CoA de RADIUS, confirme que el suplicante de Windows está ahora en VLAN en cuarentena (vlan32).

  • Confirme que ForeScout CounterACT rechaza otras solicitudes de autenticación.

  • Confirme la coincidencia de directiva de CUARENTENA DE SSSN (DOT1X) y los detalles de la acción de reparación automatizada de amenazas navegando a ForeScout CounterACT > Home.

    Figura 85: Coincidencia de directiva de cuarentena de SDSN 802.1X 802.1X SDSN Quarantine Policy Match

  • Desplácese hasta Log > Host Log. Revise los detalles de la directiva CUARENTENA DE SSSN (dot1x).

    Figura 86: Registro del host de cuarentena de SDSN 802.1X 802.1X SDSN Quarantine Host Log

  • Confirme que la dirección IP del suplicante de Windows también se agregó a la fuente de hosts infectados en el dispositivo serie SRX para bloquear el acceso a Internet.

  • En el portal de ATP Cloud, vaya a Monitor > Hosts. Confirme la dirección IP del host (10.10.30.69), MAC-ID y el puerto del conmutador del suplicante de Windows.

    Figura 87: Confirmación de los detalles del host en ATP Cloud Confirming Host Details in ATP Cloud

Significado

El resultado muestra que la fuente de host infectada con ATP Cloud que contiene la dirección IP 10.10.30.69 del suplicante de Windows se ha descargado correctamente, lo que hace que el dispositivo SRX realice una acción para poner en cuarentena la dirección IP.

La Hosts página enumera los hosts comprometidos y sus niveles de amenaza asociados. El resultado confirma que ATP Cloud y Security Director han detectado y puesto en cuarentena el host infectado. Puede supervisar y mitigar las detecciones de malware por host. También puede profundizar y verificar por qué el host está marcado como infectado (para este caso de uso, la dirección IP del servidor C&C). En el caso del malware, se muestran los detalles del archivo descargado.

Verificar la funcionalidad de ForeScout CounterACT para bloquear el punto final infectado (con NETCONF)

Propósito

Pruebe la integración y funcionalidad de ForeScout CounterACT cuando un punto de conexión esté infectado. En este ejemplo, se comprueba cuando la directiva de cumplimiento es NETCONF y está configurada para bloquear el host infectado.

Acción

Nota:

Se requiere una máquina virtual cliente o un equipo físico para desencadenar un ataque.

Antes del ataque, confirme lo siguiente:

  • En la página, cambie las acciones del Policy Enforcer > Threat Prevention Policy perfil de host infectado a Drop connection silently. Haga clic en OK.

    Figura 88: Opción Drop Connection Silently Option de caída de conexión silenciosa

  • Vaya a la pestaña Directivas. Desde la consola, detenga las políticas SDSN BLOCK–dot1x y SDSN QUARANTINE–dot1x, e inicie las políticas SDSN BLOCK–NETCONF y SDSN QUARANTINE–NETCONF.

    Figura 89: Ficha Políticas en el Administrador de Policies Tab in Policy Manager políticas

  • Confirme que el host Linux se encuentra en VLAN de usuario (vlan31) con la dirección IP 10.10.30.99.

    Figura 90: Confirmación de host Linux Linux Host Confirmation

  • Confirme que el punto de conexión 10.10.30.99 puede hacer ping a Internet (dirección IP 8.8.8.8) y a la puerta de enlace predeterminada conectada de capa 2 (10.10.30.254). Antes del ataque, el punto de conexión inicia pings continuos a otros puntos finales en la LAN e Internet.

    Figura 91: Ping de Internet Ping Internet

    El punto final hace ping al servidor C&C en Internet desde el host Linux (en este ejemplo, desde la dirección IP 184.75.221.43).

    Figura 92: Ping C&C Server Ping del servidor C&C

Después del ataque, ForeScout CounterACT aplica ACL en el conmutador QFX usando NETCONF. Confirme lo siguiente:

  • Confirme que el host Linux ya no puede conectarse a Internet o a la LAN.

    Figura 93: Confirmación de host Confirming Disconnected Linux Host Linux desconectado

  • Confirme la coincidencia de políticas de BLOQUE SDSN (NETCONF) y los detalles de la acción de reparación automatizada de amenazas navegando a ForeScout CounterACT > Home.

    Figura 94: Confirmación de la coincidencia de políticas y detalles Confirming Policy Match and Automated Threat Remediation Details de la corrección automatizada de amenazas

  • Desplácese hasta Log > Host Log. Revise los detalles de la directiva SDSN BLOCK (NETCONF).

    Figura 95: Registro SDSN Block Host Log de host de bloque SDSN

  • Confirme que la dirección IP del host Linux también se agregó a la fuente de hosts infectados en el dispositivo de la serie SRX para bloquear el acceso a Internet.

  • En el portal de ATP Cloud, vaya a Monitor > Hosts. Confirme la dirección IP del host (10.10.30.99), MAC-ID y el puerto del conmutador del host Linux.

    Figura 96: Confirmación de la información de host en ATP Cloud Portal Confirming Host Information in ATP Cloud Portal

Significado

Todas las sesiones de ping muestran que el tráfico se bloquea después de que se detectó la amenaza, lo que confirma que el caso de uso de reparación automatizada de amenazas funciona correctamente.

La Hosts página enumera los hosts comprometidos y sus niveles de amenaza asociados. El resultado confirma que ATP Cloud y Security Director han detectado el host infectado. Puede supervisar y mitigar las detecciones de malware por host.

Verificar la funcionalidad de ForeScout CounterACT para poner en cuarentena el punto de conexión infectado (con NETCONF)

Propósito

Pruebe la integración y funcionalidad de ForeScout CounterACT cuando un punto de conexión esté infectado. En este ejemplo, comprobará cuándo la directiva de cumplimiento NETCONF y está configurada para poner en cuarentena el host infectado.

Acción

Nota:

Se requiere una máquina virtual cliente o un equipo físico para desencadenar un ataque.

Antes del ataque, confirme lo siguiente:

  • Suelte el host infectado en el portal de ATP Cloud o en Security Director (Monitor > Threat Prevention > Hosts).

  • Asegúrese de que el acceso a Internet o LAN esté restaurado para el host Linux.

  • En la página, cambie las Policy Enforcer > Threat Prevention Policy acciones del perfil de host infectado a Quarantine y agregue el ID de VLAN como vlan32. Haga clic en OK.

    Figura 97: Cambio de la directiva de prevención de amenazas a cuarentena Changing Threat Prevention Policy to Quarantine

  • Confirme que el host Linux se encuentra en VLAN de usuario (vlan31) con la dirección IP 10.10.30.99.

    Figura 98: Confirmación de detalles Confirming Linux Host Details de host de Linux Confirming Linux Host Details

  • Confirme que el punto de conexión 10.10.30.99 puede hacer ping a Internet (dirección IP 8.8.8.8) y a la puerta de enlace predeterminada conectada de capa 2 (10.10.30.254). Antes del ataque, el punto de conexión inicia pings continuos a otros puntos finales en la LAN e Internet.

    Figura 99: Confirmación de la conectividad Confirming Internet Connectivity a Internet

    El punto final hace ping al servidor C&C en Internet desde el host Linux (en este ejemplo, desde la dirección IP 184.75.221.43).

    Figura 100: Confirmación de la conexión al servidor Confirming Connection to C&C Server C&C

Después del ataque, ForeScout CounterACT cambia la configuración de VLAN de la interfaz que conecta el host Linux de VLAN de usuario (vlan31) a VLAN de cuarentena (vlan32) en el conmutador QFX usando NETCONF.

Confirme lo siguiente:

  • Confirme que el host Linux ya no puede conectarse a Internet o a la LAN.

    Figura 101: Confirmación de que el host Linux no puede conectarse a Internet o LAN Confirming Linux Host Cannot Connect to Internet or LAN

  • Confirme la coincidencia de directivas de SDSN QUARANTINE (NETCONF) y los detalles de la acción de reparación automatizada de amenazas navegando a ForeScout CounterACT > Home.

    Figura 102: Confirmación de la coincidencia de políticas y detalles Confirming Policy Match and Automated Threat Remediation Details de corrección automatizada de amenazas

  • Desplácese hasta Log > Host Log. Revise los detalles de la directiva SDSN BLOCK (NETCONF).

    Figura 103: Registro de host de directiva de bloqueo de SDSN SDSN Block Policy Host Log

  • Confirme que la dirección IP del host Linux también se agregó a la fuente de hosts infectados en el dispositivo de la serie SRX para bloquear el acceso a Internet.

  • En el portal de ATP Cloud, vaya a Monitor > Hosts. Confirme la dirección IP del host (10.10.30.99), MAC-ID y el puerto del conmutador del host Linux.

    Figura 104: Confirmación de los detalles del host en ATP Cloud Portal Confirming Host Details in ATP Cloud Portal

Significado

El resultado muestra que la fuente de host infectado de ATP Cloud que contiene la dirección IP del host Linux 10.10.30.99 se ha descargado correctamente, lo que hace que el dispositivo SRX realice una acción para poner en cuarentena la dirección IP.

La Hosts página enumera los hosts comprometidos y sus niveles de amenaza asociados. El resultado confirma que ATP Cloud y Security Director han detectado y puesto en cuarentena el host infectado. Puede supervisar y mitigar las detecciones de malware por host.

Apéndice A: Configuraciones de dispositivos

En esta sección se proporcionan las siguientes configuraciones de dispositivos:

Configuración de CLI para dispositivos de la serie SRX

Configuración de CLI para conmutador EX4300

Configuración de CLI para conmutador QFX

Apéndice B: Solución de problemas al agregar un conector de terceros

Si tiene problemas al agregar el conector de terceros, revise los siguientes archivos de registro para obtener información de solución de problemas.

En esta sección se tratan los siguientes problemas de conectores de terceros:

Solución de problemas del Agente de cumplimiento de directivas

Para solucionar problemas del Agente de cumplimiento de políticas, revise estos registros:

  • /srv/feeder/connectors/forescout/logs/forescout_connector.log

  • /srv/feeder/log/controller.log

  • Si aparece el siguiente mensaje de registro en el forescout_connector.log archivo:

    Luego navegue hasta la CLI de ForeScout CounterACT e ingrese este comando:

Solución de problemas de ForeScout CounterACT

Para habilitar la depuración en la CLI para los complementos DEX (eds) y API web, ingrese los siguientes comandos:

  • fstool eds debug 10

  • fstool webapi debug 10

Revise los siguientes archivos de registro:

  • /usr/local/forescout/log/plugin/eds

  • /usr/local/forescout/log/plugin/webapi

Documentación relacionada